【文章內(nèi)容簡介】 ARD以及 OUTPUT。使用 iptables時，如果沒有刻意以 t指出要操作的表， iptables就假設(shè)你要操作 filter表 mangle 用于執(zhí)行特殊的包內(nèi)容修改，例如裁掉 IP options（需搭配擴展模組） mangle表內(nèi)建的鏈包括 PREROUTING、 INPUT、 FORWARD、POSTROUTING以及 OUTPUT 圖 、 、 ，以及各種組合所象征的包處理流程。其中圖 “網(wǎng)絡(luò)地址轉(zhuǎn)換” (NAT)的流程，相關(guān)鏈?zhǔn)亲饔糜?nat表。 圖 “包過濾系統(tǒng)”的流程，相關(guān)鏈?zhǔn)亲饔糜?filter(過濾 )表。 圖 “包內(nèi)容調(diào)整系統(tǒng)”的流程，相關(guān)鏈?zhǔn)亲饔糜?mangle表。但為了講述簡便，本書將不詳細介紹 mangle表。 圖 nat表與相關(guān)鏈 圖 filter表與相關(guān)鏈 圖 （ package）的流程 當(dāng)包流經(jīng)鏈時，必須依序通過該鏈里每一條規(guī)則的檢驗。若包符合某條規(guī)則的“篩選條件” (match)，則將包交給該規(guī)則的“目標(biāo)” (target)來處理，否則，就繼續(xù)由同鏈里的下一條規(guī)則予以檢驗。倘若包順利通過鏈里的所有規(guī)則 (不符合任何規(guī)則的篩選條件 )，則以鏈結(jié)的“策略”。 包實際會經(jīng)過哪些鏈，取決于包本身的性質(zhì) (轉(zhuǎn)交、輸入、輸出、繞回 )，表 徑順序。圖 、圖 ，包如何通過該表各鏈的詳細流程。 iptables語法 iptables 的語法相當(dāng)?shù)亩?，這些語法分成規(guī)則清除、定義政策以及新增與插入規(guī)則、三部分來說明 1）觀察規(guī)則 iptables 在一開始的時候，應(yīng)該是沒有規(guī)則的，不過，也可能在安裝的時候就有選擇系統(tǒng)自動幫您建立防火墻機制，此時系統(tǒng)就會有預(yù)設(shè)的防火墻規(guī)則。 查看規(guī)則命令格式： iptables [t tables] [L] [n] 參數(shù)說明： t：后面接 iptables 的 table ，例如 nat 或 filter ，如果沒有 t table ，那么默認就是 t filter 這個 table ； L：列出目前的 table 的規(guī)則； n：不進行 IP 與 HOSTNAME 的轉(zhuǎn)換，屏幕顯示訊息的速度會快很多。 v 顯示規(guī)則詳細信息。 2）清除規(guī)則 清除規(guī)則命令格式： iptables [t tables] [FXZ] 參數(shù)說明： F ：清除所有的已訂定的規(guī)則； X ：殺掉所有使用者建立的 chain (應(yīng)該說的是 tables）； Z ：將所有的鏈的計數(shù)與流量統(tǒng)計都清零。 例，清除 filter表規(guī)則 – studentubuntu:~$ sudo iptables –F //清除默認表 filter所有的設(shè)置規(guī)則 – studentubuntu:~$ sudo iptables –X //刪除表 filter中用戶建立的鏈 – studentubuntu:~$ sudo iptables –Z //將表 filter計數(shù)與流量統(tǒng)計都清零 請注意，如果在遠程連機的時候管理 iptables，這三個指令必須要用 scripts 來連續(xù)執(zhí)行，不然肯定會讓被主機擋在門外。 定義規(guī)則命令格式： iptables [t tables] [P] [INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT,POSTROUTING] [ACCEPT,DROP] 參數(shù)說明： P ：定義政策 ( Policy )。注意，這個 P為大寫； INPUT：數(shù)據(jù)包為輸入主機的方向； OUTPUT：數(shù)據(jù)包為輸出主機的方向； FORWARD：數(shù)據(jù)包為不進入主機而向外再傳輸出去的方向； PREROUTING：在進入路由之前進行的工作； OUTPUT：數(shù)據(jù)包為輸出主機的方向； POSTROUTING：在進入路由之后進行的工作； ACCEPT：放任數(shù)據(jù)包進入下以階段處理； DROP：終結(jié)包的后續(xù)流程。 鏈的策略主要有 ACCEPT與 DROP，對于自訂鏈的策略都固定是RETURN，不能改變。 新增與插入規(guī)則較語法復(fù)雜，大概格式是：命令 +操作表格 +過濾條件 +處置動作構(gòu)成。具體格式如下： iptables [t filter] [AI INPUT,OUTPUT,FORWARD] [io interface] [p tcp,udp,icmp,all] [s IP/work] [sport ports] [d IP/work] [dport ports] j [ACCEPT,DROP] 參數(shù)說明： A：新增加一條規(guī)則，該規(guī)則增加在最后面，例如原本已經(jīng)有四條規(guī)則， 使用 A 就可以加上第五條規(guī)則！ I：插入一條規(guī)則，如果沒有設(shè)定規(guī)則順序，預(yù)設(shè)是插入變成第一條規(guī)則， – 例如原本有四條規(guī)則，使用 I 則該規(guī)則變成第一條，而原本四條變成 2~5 187。 INPUT ：規(guī)則設(shè)定為 filter table 的 INPUT 鏈 187。 OUTPUT ：規(guī)則設(shè)定為 filter table 的 OUTPUT 鏈 187。 FORWARD：規(guī)則設(shè)定為 filter table 的 FORWARD 鏈 i：設(shè)定數(shù)據(jù)包進入的網(wǎng)絡(luò)接口 o：設(shè)定數(shù)據(jù)包流出的網(wǎng)絡(luò)接口 – Interface：網(wǎng)絡(luò)卡接口，例如 eth0, eth1， ppp0等 p：請注意，小寫，數(shù)據(jù)包的協(xié)議。 – tcp ：數(shù)據(jù)包為 TCP 協(xié)議的包； – upd ：數(shù)據(jù)包為 UDP 協(xié)議的包； – icmp：數(shù)據(jù)包為 ICMP 協(xié)議； – all ：表示為所有的包。 s：來源數(shù)據(jù)包的 IP 或者是 Network ( 網(wǎng)域 ) sport：來源數(shù)據(jù)包的端口號，也課使用 port1:port2，如21:23，表示允許 21,22,23 通過 d：目標(biāo)主機的 IP 或者是 Network ( 網(wǎng)域 ) dport：目標(biāo)主機的 port 號碼 j：動作，通常是以下的動作； – ACCEPT：接受該封包 – DROP：丟棄封包 – LOG：將該封包的信息記錄下來 (默認記錄到 /var/log/messages 文件 ) 以上新增與插入規(guī)則只是針對主機設(shè)置的這一部分，還有更多的，比如針對 NAT的規(guī)則、針對硬件地址 (MAC)分析規(guī)則等需要參考資料。 這主要涉及兩個 iptables命令。 1）保存規(guī)則 iptablessave filename 將防火墻機制儲存成 filename 那個文件，該文件為 ASCII 格式，可以進入查看。 2）恢復(fù)規(guī)則 iptablesrestore filename 將 filename 那個防火墻文件的規(guī)則讀入目前的 Linux 主機環(huán)境中。 拓 展 提 高 1）構(gòu)建一個更完善的防火墻； 2）網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）； 3） iptables與 Squid透明代理； 4）使用 FireStarter防火墻。 任務(wù) 1構(gòu)建一個更完善的防火墻 使用 iptables搭建簡單防火墻已經(jīng)能夠完成本地局域網(wǎng)相互訪問， Linux主機也能夠訪問 Inter，但如果 Linux主機還提供 Web、郵件服務(wù)等服務(wù)，簡單服務(wù)器設(shè)置能滿足要求嗎？另外，一些更安全的規(guī)則也應(yīng)該考慮。 以下過程要在 Linux主機保證運行了 Apache服務(wù)器。 1）配置前測試 在上層局域網(wǎng)的主機 ，輸入 Linux主機地址 ，訪問 Linux主機 web站點；在本地局域網(wǎng)主機 ，輸入 Linux主機地址，訪問 Linux主機 web站點。 以上兩種操作，正常情況上層局域網(wǎng)的主機不能訪問 Web站點，而本地局域可以正確訪問。 2）添加規(guī)則允許 Web服務(wù) studentubuntu:~$ sudo iptables A INPUT i eth1 p tcp dport 80 j ACCEPT 允許 eth1上目的端口是 80的數(shù)據(jù)包進入主機。 3）添加規(guī)則后測試 在上層局域網(wǎng)的主機打開瀏覽器，輸入 Linux主機地址，訪問 Linux主機 web站點； 4）添加規(guī)則允許郵件服務(wù) 郵件服務(wù)使用的是 2 110兩端口，添加規(guī)則允許進入。 studentubuntu:~$ sudo iptables A INPUT i eth1 p tcp dport 25 j ACCEPT studentubuntu:~$ sudo iptabl